O aplicativo de smartphone tem um código de volta, o que pode levar a uma vulnerabilidade grave.
Um grande número de aplicativos versáteis, incluindo os predominantes, atualiza as administrações back-end baseadas na nuvem de uma forma que dá a qualquer um a chance de obter muitos registros delicados feitos por clientes, conforme indicado por um estudo posterior. O exame foi realizado por analistas da Universidade Técnica e do Instituto Fraunhofer para Tecnologia da Informação Segura em Darmstadt, Alemanha, e os resultados foram apresentados na sexta-feira no encontro de segurança Black Hat Europe em Amsterdã.
Ele se concentrava em aplicativos que utilizam sistemas Backend-as-a-Service (BaaS) de fornecedores como o Parse, CloudMine ou Amazon Web Services reivindicados pelo Facebook. As estruturas BaaS oferecem armazenamento de banco de dados baseado em nuvem, push warning, organização do cliente e diferentes administrações que os engenheiros podem, sem dúvida, usar em seus aplicativos. Tudo o que os engenheiros precisam fazer é inscrever-se com um fornecedor de BaaS, coordenar sua unidade de melhoria de produto (SDK) em seus aplicativos e, em seguida, utilizar suas administrações por meio de interfaces de programação de aplicativos (APIs) diretas.
Vulnerabilidade de aplicativo desatualizado para hackeada em um segundo
Tendo em mente o objetivo final de perceber como era o problema de forma generalizada, os especialistas fabricaram um dispositivo que usa o exame estático e de elemento para distinguir qual fornecedor de BaaS é utilizado por um aplicativo e para separar as chaves de acesso de BaaS dele, independentemente de a possibilidade de que eles sejam confusos ou calculados em tempo de execução. Eles executaram seu instrumento em mais de dois milhões de aplicativos Android e iOS e removeram 1.000 qualificações de back-end e nomes de tabelas de banco de dados relacionados. Boa parte dessas certificações foi reutilizada em diferentes aplicações do mesmo designer e, juntas, davam acesso a mais de 18,5 milhões de registros contendo 56 milhões de informações.
Os registros incluíam dados de fender bender, informações de área específica do cliente, aniversários, dados de contato, números de telefone, fotos, localizações legítimas de e-mail, informações de compra, mensagens privadas, informações de desenvolvimento infantil e até backups de servidores inteiros. Alguns fornecedores de BaaS, semelhantes à Amazon e O Parse oferece mais controle de acesso impulsionado e a capacidade de verificar clientes de aplicativos individuais com as administrações de back-end, em vez de todo o aplicativo. No entanto, isso pode ser difícil de atualizar.
Leia também:
-
Hacker Group revelou endereço de bitcoin secreto do ISIS com US $ 3 milhões,
-
Uma ferramenta de hacking pode roubar todas as suas senhas do KeePass,
- China prende 900 hackers em ação contra hackers on-line
Google, Apple e os fornecedores de BaaS foram contatados sobre o assunto desde abril, e assim informaram uma parte dos designers cujos aplicativos foram influenciados. Seja como for, em 12 de novembro o acesso a mais de 52 milhões de informações ainda era abertamente acessível com os credenciamentos descobertos, disseram os cientistas. Algumas dessas informações estão no limbo, com base no fato de que os aplicativos que as criaram nem existem mais, à medida que seus engenheiros avançam para coisas diferentes. Isso sugere que os designers não se importam ou não sabem como alterar o problema.
0 Comments